Datenschutz Folgenabschätzung – Einfach erklärt.

Hacker finden – Wissenswertes

 

Datenschutz Folgenabschätzung – Wann muss eine Datenschutz Folgenabschätzung durchgeführt werden?

Seit dem 25. Mai 2018 ist die zweijährige Übergangsfrist zur EU-Datenschutz-Grundverordnung (EU-DSGVO) ausgelaufen und die Datenschutz Folgenabschätzung ist neu. Die DSGVO dient dem erweiterten Schutz personenbezogener Daten in der Europäischen Union und trägt zu einem einheitlichen Datenschutzniveau bei. Hierfür werden personenbezogene Daten zunächst in Kategorien mit unterschiedlichen Schutzstatus unterteilt. Für besonders sensible personenbezogenen Daten – dazu gehören beispielsweise in diesem Fall Gesundheitsdaten, biometrische Daten und Daten, die auf die ethnische Herkunft (Artikel 9, Absatz 1 EU-DSGVO) schließen lassen oder eine eindeutige Identifizierung zulassen sowie über bestehende Vorstrafen (Artikel 10, Absatz 1 EU-DSGVO) einer Person informieren – muss eine Datenschutz Folgenabschätzung (DSFA) durchgeführt werden, wenn diese Daten trotzdem ein hohes Risiko für die Rechte dieser Personen bedeuten kann. Die DSFA muss als kontinuierlicher Prozess behandelt werden, weil diese spätestens nach drei Jahren erneut zu durchlaufen ist.

Die rechtlichen Grundlagen der Datenschutz Folgenabschätzung sind im Artikel 35 EU-DSGVO festgelegt. Nach Artikel 35 Absatz 1 ist sie immer dann durchzuführen, wenn sie durch die Verwendung neuer Technologien sowie auf Basis von Art, Umfang, Umstände und Zweck der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person zur Folge hat. Nach Erwägungsgrund 75 werden die Rechte und Freiheiten Betroffener eingeschränkt, wenn diese beispielsweise Opfer von Diskriminierung, Identitätsdiebstahl, Rufschädigung, finanziellen Verlusten, Kontrollverlust über die eigenen Daten werden oder eine Profilbildung einschließlich Standorts erfolgt ist.

Im Kern handelt es sich richtigerweise um eine optimierte und strukturierte sowie im Vorfeld der Datennutzung durchzuführende Risikoanalyse für denjenigen, dem die personenbezogenen Daten zuzuordnen sind. In der DSFA werden die Risiken für die Rechte und des weiteren Freiheiten natürlicher Personen bei einer Verarbeitung ihrer personenbezogenen Daten festgelegt. Zusätzlich erhalten Unternehmen, die mit sensiblen personenbezogenen Daten umgehen Auflagen, nach Artikel 35 Absatz 5 EU-DSGVO Dokumentationen zu führen, bei denen eine Datenschutz-Folgenabschätzungen durchzuführen ist.

Leitlinien, die von der Artikel-29-Gruppe vorgeschlagen wurden

Die Artikel-29-Gruppe setzt sich aus den Aufsichtsbehörden des Datenschutzes aus jeweiligen EU-Mitgliedsstaaten sowie der Europäischen Union selbst zusammen. Sie haben Szenarien entwickelt, in denen die Datenverarbeitung mit einem hohen Risiko für die jeweilige Person behaftet ist. Beispielhaft hierfür sind nachfolgende Verarbeitungstätigkeiten.

SCORING/PROFILING

Dieser Faktor tritt ein, wenn beispielsweise eine Organisation das Nutzerverhalten im Internet untersucht oder über das Internet Nutzerprofile auf Basis der Handlungsweise der Personen erstellt. 

RECHTLICHE KONSEQUENZEN FÜR BETROFFENE DURCH AUTOMATISCHE ENTSCHEIDUNGEN

Dies tritt ein, wenn die automatische Verarbeitung von Daten einen Vertragsabschluss nicht zustande kommen lässt.

SYSTEMATISCHE ÜBERWACHUNG

Dazu sind Verarbeitungsvorgänge zur Beobachtung, Überwachung und Kontrolle über Social Media-Plattformen und andere Netzwerke zu zählen. 

SENSIBLE DATEN NACH ARTIKEL 9, ABSATZ 1

Hierunter fallen beispielsweise Gesundheitsdaten eines Patienten, die durch ein Krankenhaus verarbeitet werden.

DATEN, DIE IN MASSEN VERARBEITET WERDEN

Werden schützenswerte, personenbezogene Daten in einem großen Umfang verarbeitet, werden viele Personen potenziell gefährdet. 

DATEN ZUSAMMENFÜHREN / KOMBINIEREN

Werden personenbezogene Daten aus unterschied­lichen Quellen gewonnen, können durch Zusammenführen dieser Quellen pseudonyme oder anonyme Daten rekonstruiert werden und Personen zugeordnet werden.

DATEN SCHUTZBEDÜRFTIGER PERSONEN

Zu diesen Personengruppen gehören beispielsweise Kinder und psychisch kranke Personen.

EINSATZ NEUER TECHNOLOGIEN

Neue technologische Verfahren wie die biometrische Verarbeitung von Daten durch automatische Gesichtserkennung, können beispielhaft genannt sein.

Sorgt die Datenverarbeitung dafür, dass die betroffene Person ein Recht zum Datenschutz nicht ausüben kann, wird eine Datenschutz Folgenabschätzung empfohlen. Weil wenn zwei der obengenannten Faktoren eintreten (könnten), ist eine DSFA grundsätzlich verpflichtend. Bei Unsicherheit oder Zweifeln sollten sich die mit dem Datenschutz betrauten Personen des Unternehmens die jeweilige Aufsichtsbehörde des Landes kontaktieren.

„Black List“ und „White List“ der Aufsichtsbehörden

Die staatlichen Aufsichtsbehörden haben Listen an Verarbeitungstätigkeiten definiert, aus denen hervorgeht, ob eine DSFA durchgeführt werden muss oder nicht. Dabei stehen die Fälle, für die keine DSFA erstellt werden muss auf der White List, ebenso wie Positivliste genannt. Muss eine DSFA jedoch verpflichtend durchgeführt werden, stehen die Fälle auf der Black List, auch Negativliste genannt. Jedes Bundesland entscheidet selbst, welche Verarbeitungstätigkeiten welcher Liste zugeordnet werden. Daher existieren bundesländerspezifische Unterschiede.

Da bei einer „White List“ keine DSFA zu erstellen oder zu führen ist, sind hier nur die Bereiche der „Black List“ beispielhaft aufgeführt. Die Liste ist nicht abschließend und kann jederzeit durch die Aufsichtsbehörden aktualisiert sein. Deshalb ist die Aufsichtsbehörde für Datenschutz zu konsultieren.

NETZWERKE/PORTALE ·         Soziale Netzwerke·         Dating- und Kontaktportale·         Bewertungsportale 
TRACKING/ANALYSEN ·         Big-Data-Analysen von Kundendaten·         Offline-Tracking von Kundenbewegungen·         Verkehrsstromanalysen·         Erfassung des Kaufverhaltens von Personen durch Profilbildung 
ÜBERPRÜFUNG/ÜBERWACHUNG ·         Überwachung der Messdaten·         RFID-/NFC-Anwendungen durch Apps oder Karten·         Überprüfung der Kreditwürdigkeit (Scoring) durch Auskunfteien, Banken oder Versicherung 
SONSTIGES ·         Anwendung der Telemedizin einschließlich der Anlage einer virtuellen Patientenakte·         Automatisiertes Erstellen von Profilen von Mitarbeitern und Kunden·         Zahlartensteuerung von vielen verschiedenen Personen in großen Mengen 

Die passende Dokumentation hierfür muss den Datenschutzbehörden jeder Zeit ausgehändigt werden können.

Wie wird eine Datenschutz Folgenabschätzung praktisch umgesetzt?

Die DSFA ähnelt einem lückenlosen Bericht, in dem die folgenden Punkte zu Dokumentationszwecken zuerst nachvollziehbar formuliert sind. Das Unternehmen, das eine DSFA anzufertigen hat, muss folgenden Schritte beschreiben:

  1. Zuerst eine systematische Beschreibung aller Vorgänge der Datenverarbeitung. Wesentlich hierfür ist der Zweck der Verarbeitung.
  2. Zweitens klären Sie beispielsweise, ob alle zu verarbeitenden personenbezogenen Daten, notwendig und verhältnismäßig sind, um den Zweck zu erfüllen.
  3. Drittens mögliche Risiken der Datenverarbeitung müssen für die Rechte und Freiheiten betroffener Personen vom Unternehmen analysieren und bewerten.
  4. Zuletzt ist zu dokumentieren, welche Maßnahmen definiert sind, um die Risiken für die betroffenen Personen zu reduzieren.

Bestehende Restrisiken müssen Sie benennen. Kontaktieren Sie bestenfalls die Aufsichtsbehörde für Datenschutz, wenn die getroffenen technischen und organisatorischen Maßnahmen trotz bestem Gewissen nicht ausreichen.

Wenn die DSFA nicht oder nicht korrekt ist, muss das Unternehmen mit maximalen Strafzahlungen in Höhe von bis zu zehn Millionen Euro oder 4% des Vorjahresumsatzes rechnen. Bei Unklarheiten kann man stattdessen die Aufsichtsbehörde um Hilfe bitten, indem man die zuständige Aufsichtsbehörde kontaktiert.

Je nach dem wie viel Expertise im Unternehmen im Bereich Datenschutz ist, sollte man folgerichtig handeln oder einen externen Datenschutzbeauftragten zur Erstellung der Datenschutz Folgeabschätzung konsultieren.

Das könnte Sie auch interessieren: DSGVO Bußgelder – Was sind die Strafen?